Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm.

From: Jesper Louis Andersen (none@jlouis--diku.dk.lh.bsd-dk.dk)
Date: Tue 22 Apr 2003 - 12:35:47 CEST

Next message: Jesper Monsted: "Re: Opgradér Perl - bedste metode?"
Previous message: Michael Andreasen: "Opgradér Perl - bedste metode?"
In reply to: Henrik Lund Kramshøj: "Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Tue, 22 Apr 2003 12:35:47 +0200
From: Jesper Louis Andersen <none@jlouis--diku.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm.

On Mon, Apr 21, 2003 at 07:57:11PM +0200, Henrik Lund Kramshøj wrote:
> IPF??
>
> Med frygt for at starte en flamewar, PF OpenBSD Packet Filter er
> værd at kigge på - og du kan formentlig bruge dine konfigurationsfiler
> næsten uændrede på PF (samlet til een /etc/pf.conf fil med både FW og
> NAT)
>
> IPF er "deprecated" på OpenBSD ;-) PF er fremtiden - og jeg kan ikke
> vente
> til det kommer til Mac OS X (er jo allerede port'et til Free)

Det gør du så slet ikke med nedenstående :)

man pf.conf
man pf
man pfctl

> >1) Jeg kan se i ipf(5) at ipfilter understøtter en auth, men jeg har
> >ingen
> >dokumentation på hvordan det i øvrigt virker. Jeg ville gerne bruge den
> >funktionalitet til at trådløse klienter (windows - potentielt meget
> >onde maskiner :) skulle autensificere før der åbnes gennem firewallen.
> Lyder fornuftigt - et trådløst interface er at betragte som værende
> usikkert
> - kig evt. på at erstatte WEP med IPsec
> http://www.allard.nu/pipermail/openbsd-ipsec-clients/ er vist et godt
> sted
> at finde information af den slags du søger

Derudover:

man authpf

> >2) Hvordan kan man bruge IPNat/rdr så der laves redirect af alle porte,
> >uden at jeg skal skrive godt 65000 regler? Pointen er at rdr dermed
> >bliver
> >det omvendte af map, dvs. nat sker på vejen ind istedet for på vejen ud
> >og det er dst ip der omskrives i stedet for src ip.

fra pf.conf:

     rdr_rule = [ "no" ] "rdr" "on" ifspec [ af ] [ protospec ]
                      "from" ipspec "to" ipspec [ portspec ]
                      [ "->" address [ portspec ] ] .

Aha, portspec lyder interessant:

portspec = "port" ( number | name ) [ ":" ( "*" | number | name ) ] .

Du vil lave henholdvise (parvise) rdr's af samtlige porte, men da
portspec er optional gøres det ved at undlade en portspec fra
ovenstående. Du kan lave partielle parvise portforwards med "*"
parameteren (se pf.conf omkring rdr clauset).

> >3) Flush enkelt state. Jeg ved at IP-Filter ikke understøtter at man
> >kan
> >flushe kun et enkelt state i state tabellen. Er der nogen der kender en
> >util til at sende spoofede icmp-pakker så jeg kan få klienten til at
> >tro
> >at forbindelsen er blevet lukket?

man pfctl

kig lidt på -k parameteren...

-- 
Jesper
  OP == Obscure programming == C++

Next message: Jesper Monsted: "Re: Opgradér Perl - bedste metode?"
Previous message: Michael Andreasen: "Opgradér Perl - bedste metode?"
In reply to: Henrik Lund Kramshøj: "Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:28 CET